PKI

Public Key Infrastructure

Im folgenden finden Sie Anweisungen zum Anfordern von Zertifikaten mit gängigen Web-Browsern sowie Anweisungen für die Verwendung dieser Zertifikate. Die Anweisungen für die Zertifizierung beziehen sich auf e-mail (S / MIME) Zertifikate. Das Erfordernis der anderen Arten von Zertifikaten ist jedoch weitgehend ähnlich konzipiert. Wenn Sie Vorschläge für weitere Anweisungen oder weitere Fragen haben, schicken Sie eine E-mail an support@gwdg.de oder nutzen Sie das Support-Formular der GWDG.

Beantragung persönliches E-Mail-Zertifikat

Beantragen Sie ihr persönliches E-Mail-Zertifikat mit einem Webbrowser.

Bitte beachten Sie die Browser-Empfehlungen bei den beiden Wegen zur Zertifikat-Beantragung

Seit dem 2. September 2019 wird der neue Beantragungsweg der primäre Weg sein, Nutzerzertifikate zu beantragen. Der bisherige Weg wird dann nur noch dem Microsoft Internet Explorer vorbehalten sein.

Auswahl Registrierungs-Autorität (RA)

Neuer Weg

Zertifikat beantragen

Die persönliche Identifizierung in Zeiten der Corona-Pandemie kann ab jetzt mit der vom DFN freigegebenen Video-Identifizierung durchgeführt werden.

Für den Microsoft Internet Explorer siehe bisheriger Weg.

Nach dem wie in GN 04-05|20 ab Seite 26 im Absatz „Der neue Beantragungsweg“ der Weg zu den neuen Antragseiten beschrieben wurde, ändert sich dieser ab der dortigen Abb. 2 wie im folgenden Beschrieben. Zu sehen sind nun zwei größere Schaltflächen. Für die Beantragung auf die Schaltfläche „Ein neues Nutzerzertifikat beantragen“ klicken.

Zu sehen sind nun zwei größere Schaltflächen. Für die Beantragung auf die Schaltfläche „Ein neues Nutzerzertifikat beantragen“ klicken.

Die benötigten Daten für das Nutzerzertifikat eingeben und auf die Schaltfläche „Weiter“ klicken.

Die benötigten Daten für das Nutzerzertifikat eingeben und auf die Schaltfläche „Weiter“ klicken.

Ein Zusammenfassung der Angaben wird angezeigt. Wenn alles in Ordnung ist auf die Schaltfläche „Antragsdatei speichern“ klicken.

Ein Zusammenfassung der Angaben wird angezeigt. Wenn alles in Ordnung ist auf die Schaltfläche „Antragsdatei speichern“ klicken.

Ein Passwort für die Antragsdatei ist einzugeben und mit einem Klick auf „Ok“ zu bestätigen.

Ein Passwort für die Antragsdatei ist einzugeben und mit einem Klick auf „Ok“ zu bestätigen.

Die Antragsdatei wird im eingestellten Download-Verzeichnis des genutzten Webbrowsers gespeichert.

Die Antragsdatei wird im eingestellten Download-Verzeichnis des genutzten Webbrowsers gespeichert.

Nun die Schaltfläche „Zertifikatantragsformular (PDF) herunterladen“ anklicken. Die PDF-Datei wird heruntergeladen. Diese mit einem PDF-Programm öffnen, ausdrucken und unterschreiben und damit zum zuständigen RA-Operator in Ihrem Institut gehen.

Für die Persönliche Identifizierung halten Sie bitte Ihren gültigen Personalausweis bereit.

Nach der erfolgten persönlichen Identifizierung und Prüfung des Zertifikantrags wird der zuständige RA-Operator Ihren Zertifikantrag genehmigen.

Sie erhalten nach der Ausstellung Ihres persönlichen E-Mail-Zertifikats eine E-Mail mit Anweisungen für die weiteren Schritte.

Zertifikat abholen

Nach dem Klick auf die URL in der Mail oder durch kopieren und einfügen in die Adreßzeile des Browsers, mit dem das Zertifikat beantragt wurde, auf „Ein beantragtes Zertifikat abholen“ klicken.

Nach dem Klick auf die URL in der Mail oder durch kopieren und einfügen in die Adreßzeile des Browsers, mit dem das Zertifikat beantragt wurde, auf "Ein beantragtes Zertifikat abholen" klicken.

Um die Antragsdatei anzugeben bzw. auszusuchen auf „Browse“ klicken und die zugehörige Antragsdatei zum abzuholenden Zertifikat auswählen.

Um die Antragsdatei anzugeben bzw. auszusuchen auf "Browse" klicken und die zugehörige Antragsdatei zum abzuholenden Zertifikat auswählen.

Um die Antragsdatei anzugeben bzw. auszusuchen auf "Browse" klicken und die zugehörige Antragsdatei zum abzuholenden Zertifikat auswählen.

Die Informationen der Antragsdatei werden angezeigt. Wenn alles passt auf „Weiter“ klicken.

Die Informationen der Antragsdatei werden angezeigt. Wenn alles passt auf "Weiter" klicken.

Wenn versucht wird, das Zertifikat abzuholen und die Bestätigungsmail ist noch nicht eingegangen wird folgende Fehlermeldung angezeigt.

Wenn versucht wird, das Zertifikat abzuholen und die Bestätigungsmail ist noch nicht eingegangen wird folgende Fehlermeldung angezeigt.

Wenn die Abholung funktioniert hat, werden die Daten des aktuell abgeholten Zertifikats in einer Übersicht angezeigt. Mit einem Klick auf „Zertifikatsdatei speichern“ wird der Abschluss der Abholung eingeleitet.

Wenn die Abholung funktioniert hat, werden die Daten des aktuell abgeholten Zertifikats in einer Übersicht angezeigt. Mit einem Klick auf "Zertifikatsdatei speichern" wird der Abschluss der Abholung eingeleitet.

Für die Absicherung der zu speichernden Zertifikatsdatei muss jetzt zwingend ein Zertifikatspasswort eingegeben werden. Mit einem Klick auf „OK“ wird der Vorgang abgeschlossen.

Für die Absicherung der zu speichernden Zertifikatsdatei muss jetzt zwingend ein Zertifikatspasswort eingegeben werden. Mit einem Klick auf "OK" wird der Vorgang abgeschlossen.

Zum Abschluss der Abholung wird noch eine Informationsseite mit wichtigen Informationen angezeigt, die beachtet werden sollten.

Zum Abschluss der Abholung wird noch eine Informationsseite mit wichtigen Informationen angezeigt, die beachtet werden sollten.

Bisheriger Weg

Alle anderen Browser unterstützen die Erzeugung privater Schlüssel nicht mehr1)!

Drei Schritte zum Antrag:

1. 1. Schritt: Formular ausfüllen

2. 2. Schritt: Angaben bestätigen

3. 3. Schritt: Antrag im PDF-Format herunterladen

Am Ende der Beantragung laden Sie bitte die erzeugte PDF-Datei herunter.

Bitte unterscheiben Sie eigenhändig den ausgedruckten Zertifikat-Antrag.

Mit dem von Ihnen unterschriebenen Antrag gehen Sie bitte zum zuständigen RA-Operator in Ihrem Institut.

Für die persönliche Identifizierung halten Sie bitte Ihren gültigen Personalausweis bereit.

Nach der erfolgten persönlichen Identifizierung und Prüfung des Zertifikat-Antrag wird der zuständige RA-Operator Ihren Zertifikat-Antrag genehmigen.

Sie erhalten nach der Ausstellung Ihres persönlichen E-Mail-Zertifikats eine E-Mail mit Ihrem Zertifikat im Anhang.

Detaillierte Beschreibung der E-Mail-Verschlüsselung mit X.509-Zertifikaten

Für weiterführende Schritte und eine detaillierte Anweisungen zur Installation und Nutzung des Zertifikats in verschiedene E-Mail-Clients lesen Sie bitte die Informationen in folgenden Dokumenten.

  1. GWDG Nachrichten 12|19 - Teil 1: Beantragung und Sicherung von Zertifikaten
  2. GWDG Nachrichten 1-2|20 - Teil 2: Installation und Verteilung von Zertifikaten
  3. GWDG Nachrichten 3|20 - Teil 3: Outlook-E-Mail-Anwendungen
  4. GWDG Nachrichten 4-5|20 - Überarbeitung des neuen Beantragungsweges für Nutzerzertifikate in der DFN-PKI
  5. GWDG Nachrichten 7-8|20 - E-Mail-Verschlüsselung mit X.509-Zertifikaten – Teil 4: Apple E-Mail-Anwendungen

Beantragung Server-Zertifikat

OpenSSL mit folgenden Parametern aufrufen

Unix/OS X

Einfaches Bash-Skript…

createcsr.sh
openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem
  • Script createscr.sh herunterladen.
  • Rechte ändern
    chmod 744 createcsr.sh
  • Script wie folgt starten
    ./createcsr.sh

Windows

Einfaches PowerShell-Skript…

createcsr.ps1
openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem

Einfaches Batch-Skript…

createcsr.bat
openssl req -newkey rsa:4096 -sha256 -keyout priv-key.pem -out certreq.pem

Danach verfahren Sie weiter mit der Auswahl Registrierungs-Autorität (RA) und laden die Certificate Signing Request (CSR) Datei in dem angebotenen Webformular Ihrer Einrichtung hoch, dass Sie über den Klick auf „hochladen für Server“ erreichen.

Beantragung Server-Zertifikat mittels OpenSSL.cnf

OpenSSL mit folgenden Parametern aufrufen

Unix/OS X

Einfaches Bash-Skript…

createcsr.sh
openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem
  • Script createscr.sh herunterladen.
  • Rechte ändern
    chmod 744 createcsr.sh
  • Script wie folgt starten
    ./createcsr.sh

Windows

Einfaches PowerShell-Skript…

createcsr.ps1
openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem

Einfaches Batch-Skript…

createcsr.bat
openssl req -config example.cnf -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example-csr.pem

Danach verfahren Sie weiter mit der Auswahl Registrierungs-Autorität (RA) und laden die Certificate Signing Request (CSR) Datei in dem angebotenen Webformular Ihrer Einrichtung hoch, dass Sie über den Klick auf „hochladen für Server“ erreichen.

Beispieldateien für OpenSSL.cnf

MPG

Das Wort example ist durch einen gültigen Servernamen und die E-Mail-Adresse noreply@{mpg|uni-goettingen|gwdg}.de durch eine gültige zu ersetzen.

example.cnf
HOME            = .
RANDFILE        = $ENV::HOME/.rnd
 
####################################################################
[ req ]
default_bits        = 4096
default_keyfile     = example.key
distinguished_name  = server_distinguished_name
req_extensions      = server_req_extensions
string_mask         = utf8only
 
####################################################################
[ server_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = DE
 
stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = Niedersachsen
 
localityName            = Locality Name (eg, city)
localityName_default        = Goettingen
 
organizationName            = Organization Name (eg, company)
organizationName_default    = Max-Planck-Gesellschaft
 
 
organizationalUnitName	= Organizational Unit Name (eg, your Max-Planck-Institute)
organizationalUnitName_default	= PKI
 
 
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_default      = example.mpg.de
 
emailAddress            = Email Address
emailAddress_default        = noreply@mpg.de
 
####################################################################
[ server_req_extensions ]
 
subjectKeyIdentifier        = hash
basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
subjectAltName          = @alternate_names
nsComment           = "OpenSSL Generated Certificate"
 
####################################################################
[ alternate_names ]
 
DNS.1       = example-san-1.mpg.de
DNS.2       = example-san-2.mpg.de

Uni Göttingen

Das Wort example ist durch einen gültigen Servernamen und die E-Mail-Adresse noreply@{mpg|uni-goettingen|gwdg}.de durch eine gültige zu ersetzen.

example.cnf
HOME            = .
RANDFILE        = $ENV::HOME/.rnd
 
####################################################################
[ req ]
default_bits        = 4096
default_keyfile     = example.key
distinguished_name  = server_distinguished_name
req_extensions      = server_req_extensions
string_mask         = utf8only
 
####################################################################
[ server_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = DE
 
stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = Niedersachsen
 
localityName            = Locality Name (eg, city)
localityName_default        = Goettingen
 
organizationName            = Organization Name (eg, company)
organizationName_default    = Georg-August-Universitaet Goettingen
 
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_default      = example.uni-goettingen.de
 
emailAddress            = Email Address
emailAddress_default        = noreply@uni-goettingen.de
 
####################################################################
[ server_req_extensions ]
 
subjectKeyIdentifier        = hash
basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
subjectAltName          = @alternate_names
nsComment           = "OpenSSL Generated Certificate"
 
####################################################################
[ alternate_names ]
 
DNS.1       = example-san-1.uni-goettingen.de
DNS.2       = example-san-2.uni-goettingen.de

GWDG

Das Wort example ist durch einen gültigen Servernamen und die E-Mail-Adresse noreply@{mpg|uni-goettingen|gwdg}.de durch eine gültige zu ersetzen.

example.cnf
HOME            = .
RANDFILE        = $ENV::HOME/.rnd
 
####################################################################
[ req ]
default_bits        = 4096
default_keyfile     = example.key
distinguished_name  = server_distinguished_name
req_extensions      = server_req_extensions
string_mask         = utf8only
 
####################################################################
[ server_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = DE
 
stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = NIEDERSACHSEN
 
localityName            = Locality Name (eg, city)
localityName_default        = GOETTINGEN
 
organizationName            = Organization Name (eg, company)
organizationName_default    = Gesellschaft fuer wissenschaftliche Datenverarbeitung
 
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_default      = example.gwdg.de
 
emailAddress            = Email Address
emailAddress_default        = noreply@gwdg.de
 
####################################################################
[ server_req_extensions ]
 
subjectKeyIdentifier        = hash
basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
subjectAltName          = @alternate_names
nsComment           = "OpenSSL Generated Certificate"
 
####################################################################
[ alternate_names ]
 
DNS.1       = example-san-1.gwdg.de
DNS.2       = example-san-2.gwdg.de

Wichtige OpenSSL-Befehle

Eine Sammlung wichtiger OpenSSL-Befehle für Server-Zertifikate

Entfernung des Kennworts vom privaten Schlüssel

openssl rsa -in example.key -out example.np.key

Erstellen einer PKCS#12-Datei aus privaten und öffentlichen Schlüssel

openssl pkcs12 -export -out example.pfx -inkey example.key -in example.pem

Detaillierte Beschreibung der Einsatzmöglichkeiten von X.509-Zertifikaten

  1. GWDG Nachrichten 09-10|20 - Teil 1: Serverzertifikate
1) Eine nicht unterstützte oder abgekündigte Funktion!
Cookies helfen bei der Bereitstellung von Inhalten. Diese Website verwendet Cookies. Mit der Nutzung der Website erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Computer gespeichert werden. Außerdem bestätigen Sie, dass Sie unsere Datenschutzerklärung gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website. Weitere Information